홈페이지>프로그래밍 관련>C/C++
다운로드

Idenlib- 라이브러리 기능 식별

맬웨어 또는 타사 소프트웨어를 분석 할 때는 정적으로 연결된 라이브러리를 식별하고 라이브러리의 기능이 수행하는 작업을 이해하는 것이 어려운 일입니다.

idenLib.exe .lib / .obj / .exe 파일에서 라이브러리 서명을 생성하는 도구입니다.

idenLib.dp32 / idenLib.dp64 는 라이브러리 기능을 식별하기위한 x32dbg / x64dbg 플러그인입니다.

idenLib.py 는 라이브러리 기능을 식별하는 IDA Pro 플러그인입니다.

모든 피드백은 크게 감사합니다 : @_qaz_qaz

idenlib.exe는 어떻게 서명을 생성합니까?

  1. 입력 파일 ( .lib / .obj 파일)을 구문 분석하려면 함수 주소 및 함수 이름 목록을 얻으려면.
  2. 각 명령어에서 마지막 오크 코드를 가져옵니다

시그

  1. ZSTD로 서명을 압축합니다

  2. 입력 파일 이름이 zlib.lib 인 경우 SymEx 디렉토리 아래에 서명을 저장하면 zlib.lib.sig 또는 zlib.lib.sig64 , SymEx zlib.lib.sig(64) 이전 버전의 라이브러리에서 이미 존재하는 경우 출력은 zlib.lib.sig 또는 zlib.lib.sig64입니다. .lib 파일의 다른 버전으로 idenLib.exe 여러 번 실행하면 .sig / sig64 파일에는 모든 고유 함수 서명이 포함됩니다.

서명 내부 (압축) : 서명

용법:

  • 라이브러리 서명을 생성하십시오 : idenLib.exe /path/to/file 또는 idenLib.exe /path/to/directory
  • main 기능 서명을 생성하십시오 : idenLib.exe /path/to/pe -getmain

라이브러리 서명 생성

lib

x32dbg / x64dbg , IDA Pro 플러그인 사용 :

  1. x32dbg / x64dbg / IDA Pro 의 기본 디렉토리에서 SymEx 디렉토리 복사
  2. 서명 적용 :

x32dbg / x64dbg :

XDB

IDA Pro :

IDA_BOOST_2

main 기능 서명 생성 :

MSVC 14 사용하여 컴파일 된 main 기능에 대한 서명을 생성하려면 해당 컴파일러로 hello world 애플리케이션을 작성하고 응용 프로그램을 idenLib 의 입력으로 사용해야합니다.

getmain

main 함수 서명 파일은 EntryPointSignatures.sigEntryPointSignatures.sig64 입니다

Idapromain

x64dbg_main

main 기능 서명에 관한 메모

  • idenLib DIA APIs 사용하여 PDB 파일에 저장된 디버그 정보를 찾아냅니다. -getmain 매개 변수로 idenLib 실행하려면 MSDIA140.dll ( Microsoft Visual Studio2017CommunityDIA SDKbin )이 DLL에서 regsvr32.exe를 호출하여 COM 구성 요소로 등록되도록해야합니다.

서명 적용

서명을 적용하는 두 가지 방법, 정확한 일치 및 Jaccard index 사용

x32dbg_jaccard

유용한 링크 :

  • C Run-Time Libraries (CRT) 에 대한 자세한 정보

타사

  • Zydis (MIT 라이센스)

  • Zstandard (BSD 라이센스)

  • Freepik의 아이콘

확장하다
추가 정보
관련 애플리케이션
추천
관련 정보 전체